Nualt à l'IA Day Valenciennes : atelier vibe coding

Le 15 juin, Nualt Studio animait un atelier sur les limites du vibe coding à l'IA Day de Valenciennes, organisé par Les Rives Créatives. Retour sur ce qu'on y a dit, avec le support de présentation à télécharger pour ceux qui n'ont pas pu être dans la salle.

Projets & actusThomas Sarazin
hero-interne

Points clefs

  • Le vibe coding, c'est produire du code sans le comprendre, ce qui pose un vrai risque de dépossession de son produit et de son moyen de production
  • Le front-end n'est pas plus simple à gérer pour une IA que le back-end, c'est une idée reçue qu'on ne questionne jamais
  • Les projets vibecodés avec Supabase en back-end présentent des failles de sécurité dans 98% des cas, dont 29% de critiques, selon une étude de juin 2026
  • L'IA choisit souvent Node.js et des architectures par défaut, pas nécessairement les mieux adaptées au besoin réel du projet
  • Garder un minimum de compréhension technique reste la meilleure assurance contre les mauvaises surprises, sans pour autant renoncer à l'IA comme outil

Contexte : un atelier à l'IA Day de Valenciennes

Le 15 juin 2026, Les Rives Créatives, l'incubateur où Nualt Studio est installé, organisait la première édition de l'IA Day à la Serre Numérique de Valenciennes. Une après-midi avec 40 exposants, 13 workshops et une conférence, pour montrer que l'IA utile ne se construit pas que dans les grandes métropoles.

J'y avais deux casquettes : un stand en tant qu'exposant, et un créneau de 30 minutes à 16h45 pour animer l'atelier "Vibe Coding : comment ne pas construire un château de cartes", devant un public averti, mélange d'entrepreneurs, de makers, de no-codeurs et d'acteurs institutionnels. La présentation complète est disponible en téléchargement plus bas dans cet article, pour ceux qui veulent retrouver la structure utilisée pendant l'atelier.

Le fil rouge : la dépossession

L'angle du talk n'était pas de dire que le vibe coding, c'est mal. C'est un outil exceptionnel, et le nier serait malhonnête. Le vrai sujet, c'était la dépossession, un concept qui vient directement de Marx et de ses Manuscrits de 1844 : quand on projette ses qualités propres dans un objet extérieur, cet objet finit par nous devenir étranger.

Appliqué au code, ça donne une thèse simple : vibecoder sans comprendre ce qu'on produit, c'est se déposséder à la fois de son produit et de son moyen de production.

Ce qu'on perd sur le produit

Un code qu'on ne comprend pas devient impossible à corriger ou à faire évoluer soi-même. Les spécifications techniques deviennent inexplicables à une équipe qui reprendrait le projet. Et si le projet traite des données sensibles, la question RGPD devient un vrai risque, pas un détail.

Ce qu'on perd sur le moyen de production

Un outil qu'on ne maîtrise pas, dont on ne contrôle ni la tarification, ni les règles d'utilisation, ni même la nationalité pour la plupart des outils du marché, nous déconnecte de notre propre matière première. On dépend d'un tiers pour produire, sans en avoir conscience.

Un cas concret : ma propre landing page

Pour rendre ça tangible plutôt que théorique, j'ai pris l'exemple de mon ancienne landing page personnelle. Un besoin en apparence anodin : changer le titre de ma section hero. Pour y arriver, il fallait traverser plusieurs fichiers imbriqués avant de tomber, en plein milieu d'un composant Hero de plus de cent lignes, sur une classe Tailwind à rallonge digne d'un inventaire.

C'est de la dette technique invisible. Le site fonctionnait en apparence, mais son architecture portait des failles structurelles bien réelles, avec des conséquences concrètes en référencement et en performance. Avec plus de 17 000 lignes de code et des dépendances multiples, même l'IA elle-même ne pouvait plus appréhender le projet dans son ensemble pour prendre de bonnes décisions.

Le front-end n'est pas plus simple pour une IA

Il y a une idée reçue tenace : le front-end serait plus facile à laisser en autonomie à l'IA que le back-end. Mon avis de développeur là-dessus, c'est que penser ça, c'est surtout un point de vue d'humain. Rien n'indique que ce soit aussi vrai pour un modèle, qui doit composer avec l'architecture du projet, la taille de sa fenêtre de contexte, et le fait que ses décisions ont des conséquences business bien réelles, référencement compris.

Les trois pièges du back-end qu'on ne voit pas venir

Supabase, l'arbre qui cache la forêt

Supabase est fréquemment utilisé dans les projets vibecodés pour externaliser le back-end. Le souci, c'est que derrière la promesse de simplicité se cachent douze conteneurs Docker, sept langages de programmation que l'IA ne maîtrise pas nécessairement tous, et des besoins en ressources qui grimpent vite. La documentation recommande un serveur avec 8 Go de RAM, 4 cœurs et 80 Go de SSD, ce qui n'a rien d'anodin dès qu'on monte en charge.

RGPD et Row Level Security, mal compris par l'IA

Que ce soit avec Supabase ou une stack plus classique, les questions de RGPD et de Row Level Security sont essentielles et souvent mal gérées par l'IA. Une clé publique exposée sans politique data claire, une bannière de cookies mal configurée, et le produit devient illégal avec des données corrompues, sans que la responsabilité s'efface pour autant.

Node.js par défaut, pas toujours par raison

L'IA se tourne vers Node.js par défaut, parce que c'est le langage le plus présent dans ses données d'entraînement. Ce n'est pas un mauvais choix en soi, l'écosystème est polyvalent, mais ce n'est pas non plus toujours le bon choix pour un besoin spécifique, alors que d'autres langages existent et répondraient parfois mieux à la contrainte réelle du projet.

Le chiffre qui a marqué la salle

Une étude publiée début juin 2026 a scanné plus de mille projets vibecodés avec Supabase en back-end : 98% présentaient au moins une faille de sécurité, et 29% au moins une faille critique ou grave. Ce n'est pas un chiffre pour faire peur, c'est une photographie de ce qui se passe quand on laisse l'IA décider seule sans jamais vérifier ses choix.

Ce qu'il faut retenir sans jeter le bébé avec l'eau du bain

L'IA n'est pas magique, et ce n'est pas grave. Si quelque chose fonctionne en apparence, ça ne veut pas dire que sa construction est saine, un peu comme une pomme bien mûre qui cache un ver. L'IA reproduit des patterns, souvent pertinents, mais c'est notre rôle en tant que builder de les vérifier plutôt que de les subir. Céder son intelligence et son pouvoir de décision à l'outil, c'est prendre le risque d'en être dépossédé, exactement comme le décrivait Marx il y a 150 ans, avec un objet de fabrication un peu différent.

J'ai clos l'atelier avec Socrate plutôt qu'avec Marx : le premier savoir, c'est le savoir de sa propre ignorance, c'est le début de l'intelligence. Appliqué au vibe coding, ça donne une conclusion simple : mieux vaut savoir ce qu'on ne sait pas que de laisser une IA décider à sa place sans jamais se poser la question.

Ce genre d'intervention, on le fait aussi en formation

Cet atelier n'était pas un exercice isolé. Au-delà des projets de développement, on anime aussi des sessions de formation sur ces sujets, pour des centres de formation et des entreprises qui veulent sensibiliser leurs équipes aux usages et aux limites réelles de l'IA en développement, du format court comme celui de l'IA Day jusqu'à des modules plus longs, sur plusieurs jours.

La conviction reste la même que dans le reste de ce qu'on fait chez Nualt : le savoir technique protège, que ce soit pour construire un site ou pour former une équipe à utiliser l'IA sans se faire déposséder du travail qu'elle produit. Si ce format d'atelier ou un module plus long vous intéresse pour votre structure, c'est un sujet qu'on peut cadrer ensemble.

Récupérer le support de l'atelier

La présentation qui a servi de support à cet atelier est disponible en téléchargement juste en dessous de cet article, contre votre nom et votre email. Elle donne le squelette des slides utilisés pendant les 30 minutes de talk, pas le développement oral complet, mais elle reprend les visuels et la structure de l'argumentaire pour ceux qui veulent la parcourir ou la réutiliser en interne.

Le support de l'atelier, en téléchargement

Ce sont les slides qui ont servi de fil conducteur à notre atelier à l'IA Day de Valenciennes. Elles donnent la structure et les visuels de l'intervention, pas son développement oral complet. Laissez-nous votre email pour la recevoir.

À lire aussi

À votre tour.

Quelques lignes suffisent pour démarrer votre projet.